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@ Verfahren zur Identifikation von Teilnehmern sowie zur Geneherung und Verifikatlon von 
elektronischen Unterschriften in einem Datenaustauschsystem. 



@ Bei dem mit Prozessor-Chipkarten arbeitenden Datenaustauschsystem sendet die Chipkarte verschlusselte 
Identifikationsdaten I, v und ausgehend von einem zufalligen diskreten Logarithmus r einen Exponentialwert x = 
2' (mod p) an den Teilnehmer, der seinerseits eine zufallige BItfolge e an die Chipkarte sendet. Die Chipkarte 
berechnet durch iVIultiplikation der gespeicherten geheimen Schlussel s mit der Bitfolge e und durch Addition 
der Zufatlszahl r einen yWert und ubertVagt diesen y-Wert an den Teilnehmer. der seinerseits aus y, v und e 
einen x-Wert errechnet und pruft, ob der errechnete x-Wert mit dem ubermittelten x-Wert ubereinstimmt. Fur 
eine elektronische Unterschrift wird aus einem x-Wert und der zu unterschreibenden Nachricht m zunachst ein 
Hash-Wert e und anschlieflend ein y-Wert aus r. S| und e berechnet. Die Zahlen x und y ergeben dann die 
elektronische Unterschrift zur Nachricht m. 
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Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektroni- 
schen Unterschriften in einem Datenaustauschsystem 



Die Erfindung betrifft Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifika- 
tion von elektronischen Unterschriften nach den Merkmalen der Oberbegriffe der Anspruche 1. 2, 3, 10 und 

Wichti'ge Voraussetzungen fur die Datensicherheit in modernen Kommunikationssystemen sind: 
5 a) Die gegenseitige Identifikation der am System beteiiigten Kommunikationspartner 

b) die Authentifikation der ubertragenen und gespeicherten Daten 

c) die Verschlusselung der ubertragenen und gespeicherten Daten und 

d) die Prufung der Urheberschaft der ubertragenen Daten. 

Ein hohes Ma/3 an Datensicherheit ist bekanntlich nur durch den Einsatz kryptographischer Verfahren zu 

70 erreichen. die eine Identifikation und Authentizitatsprufung von Nachrichten, Teilnehmern und Geraten 
zweifelsfrei ermoglichen. Unter Kryptographie wird im allgemeinen eine Verschlusselung der Daten zur 
Geheimhaltung verstanden. Neben dieser zweifellos wichtigen Kryptofunktion gewinnen aber zunehmend 
andere Funktionen, insbesondere die Prufung der Authentizitat und Urheberschaft Oder die Erzeugung 
elektronischer Unterschriften an Bedeutung. 

J5 Zur Realisierung kryptographischer Funktionen konnen symmetrische Oder asymmetrische Verschlus- 
selungsalgorithmen verwendet werden. Beim symmetrischen Algorithmus, z.B. dem DES-AIgorithmus (Data 
Encryption Standard) werden zum Ver- und Entschlus seln gleiche Schlussel verwendet. Symmetrische 
Schlusselsysteme eignen sich vor allem dann, wenn gro/3ere Datenmengen mit hoher Geschwindigkeit 
ubertragen werden mussen. Nachteile ergeben sich dagegen durch ein relativ schwieriges Schlussel- 

20 Management, weil Sender und Empfanger den gleichen Schlussel haben mussen und zur Ubertragung des 
jeweils verwendeten Schlussels ein sicherer Kanal benotigt wird. 

Bei asymmetrischen Schlusselsystemen werden zum Ver- und Entschlussein unterschiedliche Schlus- 
sel verwendet. derart, dafl z.B. der Schlussel zum Verschtussein offentlich und der Schlussel zum 
Entschlussein geheim ist. Letzterer ist nur dem Empfanger bekannt. Ein unsymmetrisches Schlusselsystem 

25 ist z,B. der nach den Erfindern Rivest, Shamir und Adlemann benannte RSA-Algorithmus, der einen 
vergieichsweise hohen technischen Aufwand und je nach verwendeter Schlussellange entsprechend lange 
Durchlaufzeiten benotigt, aber durch das besondere Schlusselsystem hohen Sicherheitsanforderungen 
genugt. Ideal geeignet ist das asymmetrische Schlusselsystem zum Signieren einer zu ubertragenden 
Nachricht Die zu unterschreibende Nachricht wird dabel mit dem Geheimschlussel des Unterschreibenden 

30 verschlusselt und kann von jedem, der den offentlichen Schlussel kennt, entschlusselt werden. Diese 
"Elektronische Unterschrift" beinhaltet nicht nur das personliche Merkmal (Besitz des Geheimschlussels) 
des Unterschreibenden, sondern bezieht auch den unterschriebenen Text mit ein. mit der Folge, dafi jede 
Anderung des Textes vom Empfanger erkannt wird. Nachricht und Unterschrift sind damit uber den 
Schlussel-Algorithmus unveranderbar verkntipft. 

35 Der Einsatz moderner kryptographischer MIttel hangt eng mit der Einfuhrung der sogenannten multi- 
funktionalen Prozessor-Chipkarte zusammen. Die Prozessorchipkarte ermoglicht nicht nur vielseitige An- 
wendungen. sondern ist auch dafur vorgesehen, die notwendigen Sicherheitskomponenten 
(Geheimschlussel und Kryptoalgorithmus) aufzunehmen, urn eine Identifikation des Benutzers und eine 
sichere Authentifikation der Karte und der ausgetauschten Nachricht zu gewahrleisten. 

40 Die derzeit bekannten Algorithmen fCir elektronische Unterschriften, insbesondere der RSA-Algorithmus 
(siehe US-A 4 405 829) und der von A.Rat und A.Shamir entwickelte Algorithmus (EP A 0 252 499) 
erfordern entweder einen hohen Speicheraufwand oder benotigen, sofern sie uberhaupt im Chip unterge- 
bracht werden konnen, wegen umfangreicher und komplizierter Rechenoperationen. insbesondere Multipli- 
kationen, sehr viel Zeit so dafi sie fur den Einsatz in Chipkarten nur bedingt geeignet sind. 

45 Der voriiegenden Erfindung liegt deshalb die Aufgabe zugrunde, Verfahren zur gegenseitigen Identifika- 
tion von Teilnehmern eines Datenaustauschsystems und zur Generierung von Unterschriften anzugeben. die 
bei im wesentlichen gleichen Sicherheitsgarantien aufgrund einfacherer Rechenoperationen im Vergleich zu 
bekannten kryptographischen Verfahren kurzere Laufzeiten ermoglicht 

Diese Aufgabe wird erfindungsgemaiS durch die Merkmale der Anspruche 1 bzw. 2 und 3 ge- 

50 lostVorteilhafte Ausgestaltungen der Erfindung sind in den ubrigen Unteranspruchen angegeben. Dies gilt 
insbesondere fur den Anspruch 4» demzufolge die Verfahren durch in einem VorprozeB errechnete und 
zwischengespeicherte diskrete Logarithmen beschleunigt werden konnen, wobei einmal benutzte Werte in 
einem Erneuerungsprozei3 mit anderen diskreten Logarithmen in zufalliger Weise kombiniert werden. Ein 
Verfahren zur Verifizierung einer gemafl Anspruch 2 generierten Unterschrift ist in Anspruch 10 angegeben. 

2 



8NSDOCID:<EP 0383985A1> 



EP 0 383 985 A1 



Das bei der Erfindung zu losende Problem besteht in der Schwierigkett. den diskreten Logarithmus zu 
berechnen, Auf dieser Grundlage bauen auch andere. bereits bekannte asymmetrische Kryptoverfahren auf: 
(siehe T. ELGAMAL. "A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms". 
IEEE Transactions on Information Theory 31 (1985), 469 - 472; D. CHAUM, J.H. EVERTSE. J. van de 
5 GRAAF, J.: "An Improved Protocol for Demonstration Possession of Discrete Logarithms and some 
Generalizations.'* Proceedings of Eurocrypt 87. Lecture Notes in Computer Science 304, (1988). 127 - 141; 
T, BETH: "A Fiat-Shamir-like Authentication Protocol for the ELGAMAL Scheme," EurocrypfSS Abstracts p. 
41 - 47). Die vorliegende Erfindung hat gegenuber den bekannten Kryptoverfahren den Vorteil, dafl die 
Rechenoperationen in der Chipkarte vergleichsweise einfacher durchgefuhrt warden konnen. Dies geschieht 
10 insbesondere durch den genannten Vorproze/J. Dieser Vorprozefl kann auch mit den genannten Kryptosy- 
stemen von ELGAMAL, CHAUM-EVERTSE-van de GRAAF und BETH kombiniert werden. Daruber hinaus 
konnen durch die vorliegende Erfindung besonders kurze Unterschriften erzeugt werden. 

Im folgenden werden Einzelheiten der erfindungsgema/3en Verfahren. teilweise anhand der Zeichnung. 
naher erlautert. In der Zeichnung zeigen 
;5 FIG 1 den prinzipieilen Ablauf bei der erfindungsgema/5en Identifizierung eines Teilnehmers. 

FIG 2 die erfindungsgemaflen Verfahrensschritte bei der Generierung einer Unterschrift fur eine zu 
ubertragende Nachricht. 

FIG 3 die Prufung der gemafi FIG 2 erzeugten Unterschrift. 

FIG 4 die erfindungsgemai3en Verfahrensschritte bei der Generierung einer verkurzten Unterschrift, 

20 FIG 5 die Prufung der gema/3 FIG 4 erzeugten verkurzten Unterschrift. 

Anhand des in FIG 1 dargestellten Prinzipbildes soil ais Beispiel gezeigt werden. wie ein Teilnehmer A. 
beispielsweise eine diesem Teilnehmer gehorende Chipkarte. gegenuber einem Teilnehmer B. beispielswei- 
se einem Chipkarten-Terminal. seine Identitat nachweist. Bei einem mit Chipkarten arbeitenden Datenaus- 
tauschsystem werden die jeweils benutzerbezogenen Chipkarten von einem oder gegebenenfalls mehreren 

25 Geheimzentren (Regierungsvertretungen, Kreditkartengesellschaften oder dergleichen) ausgegeben, wobei 
die Ausgabe der Chipkarten erst dann erfolgt. wenn die Identitat des jeweiligen Benutzers gepruft worden 
ist. Das Zentrum bereitet dann fur einen qualifizierten Benutzer einen personlichen Identifikationsstring I vor 
(Name, Adresse, ID-Nummer. usw.), fugt diesem Identifikationsstring I den benutzerbezogenen dffentlichen 
Schlussel zu. der mogiicherweise vom Benutzer selbst erzeugt worden ist und veroffentlicht_,das aus 

30 Identifikationsstring I und dffentlichem Schlussel v gebildete Paar in einer offentlich zuganglichen Liste. Das 
Zentrum sieht den geheimen Schlussel s selbst nicht und kann ihn deshalb auch nicht verraten. Der 
Identiftkationsstrang I, die offentlichen und geheimen Schlussel v. s sowie eine vereinbarte Primzahl p 
werden vor der Kartenausgabe in der Chipkarte gespeichert. 

Anstelle des Gebrauchs einer offentlichen Liste kann das Zentrum jedes Paar I, v, unterzeichnen. Diese 

35 Unterschrift ist in der Chipkarte gespeichert und kann mit Hilfe des offentlichen Schlussels des Zentrums 
leicht nachgepruft werden. Nachdem die Chipkarten und/oder die offentliche Liste ausgegeben sind, ist 
keine weitere Interaktion mit dem Zentrum notwendig. weder zur Erzeugung noch zur Prufung von 
Unterschriften und Identitaten. 

Die Identifikation beginnt mit einer sogenannten Initiation. Dabei sendet der Teilnehmer A bzw. die 

40 Chipkarte einen Identifikationsstring 1 und den offentlichen Schlussel v an den die Identitat verifizierenden 
Teilnehmer B bzw. an das zugehorige Terminal. Im Unterschied zu bekannten Kryptoverfahren wird der 
offentliche Schlussel im Terminal verifiziert, d.h. das Terminal pruft den Zusammenhang zwischen dem 
dffentlichen Schlussel v und dem Identifikationsstring I und kontrolliert auf diese Welse die Unterschrift des 
Zentrums. Der offentliche Schlussel v = (vi ... Vk) steht im logischen Zusammenhang mit dem geheimen 

45 Schlussel s = (Si ... Sk und ist definiert als 

Vj = 2"^j (mod p) fur j = 1 k . 

Dabei ist p eine Primzahl, die mindestens 512 Bit lang ist. Sobald der geheime Schlussel s gewahit ist. 
kann man den entsprechenden offentlichen Schlussel v leicht berechnen. Der umgekehrte Prozefi. den 
geheimen Schlussel s aus dem offentlichen Schlussel v zu berechnen. ist deshalb nicht durchfuhrbar, weil 

50 die Berechnung des diskreten Logarithmus modulo p fur derart gro/le Primzahlen p aufler Reichweite 
heutiger Computer und Algorithmen ist. Die Komponente Sj des geheimen Schlussels ist der diskrete 
Logarithmus modulo p von Vj~\ d.h. 
S| = - logz Vj (mod p-1) fur j = 1,....k . 

Alle diskreten Logarithmen beziehen sich auf die Gruppe S'p (die muitiplikative Gruppe modulo p) 

55 und. sofern nicht anders vermerkt, auf die Basis 2. Weil die Ordnung der Gruppe ZZ'p p - 1 ist. nimmt der 
diskrete Logarithmus die Werte 1, 2. ... p - 1 an. 

Anstelle der endlichen Gruppen. die durch Restbildung modulo p entstehen. konnen auch andere endliche 
Gruppen zur Bildung.des diskreten Logarithmus verwendet werden. wie zum Beispiel der Einheitengruppe 
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ZZ'n der zur Zah! n primen Restklassen, der Einheitengruppe endlicher Korper. der elliptischen Kurve uber 
einem endlichen Korper. usw.. Zur Ubertragung des Verfahrens auf eine beliebige endliche Gruppe ist die 
Kenntnis der Gruppenordung nicht erforderlich. Es reicht z.B. aus. mit den diskreten Logarithmen der 
Groflenordnung 2^*° zu rechnen. 
5 Nach der Initiierung erfolgt als zweiter Schritt beim Teilnehmer A die Generierung einer Zufallszahl r 

re{1. .... p-1). 

aus welcher der folgende Exponentialwert 
x: = 2' (mod p) 

berechnet wird. Der umgekehrte Rechenprozefl, d.h. aus dem x-Wert die Zufallszahl r zu berechnen, ist 
w sehr schwierig, so fern p hinreichend grod ist Der Teilnehmer B hat deshalb praktisch keine Moglichkeit. 
die Zufallszahl r in der ihm zur Verfugung stehenden Zeit auszuforschen. Dieser beim Teilnehmer A 
berechnete x-Wert wird an den Teilnehmer B, d.h. an das Terminal ubertragen. Die Zufallszahl r ist, wie der 
bereits vorher erwahnte Geheimschlussel s,, ein diskreter Logarithmus. Daraus folgt. daj3 auf der 
Chipkarten-Seite mit diskreten Logarithmen. auf der Gegenseite d.h. im Terminal des Teilnehmers B mit 
75 dem jeweiligen Exponentialwert gerechnet wird. 

Die Generierung der Zufallszahl r und der daraus abgeleiteten Exponentialfunktion 
x: = 2' (mod p) 

kann nun in vorteilhafter Weise durch einen Vorprozefl beschleunigt werden. der in der Chipkarte einen 
Vorrat von mehreren Paaren. bestehend aus je einer Zufallszahl r und dem dazugehorigen x-Wert. 
20 bereitstellt und erneuert. Dieser Vorrat kann in der Chipkarte selbst angelegt oder von aufien in die 
Chipkarte geladen werden. Bei einem initiierten Identifikations-Proze/J kann deshalb sofort auf eines dieser 
Paare zugegriffen werden. so da/J der jeweilige x-Wert unverzCigiich an den Teilnehmer B ubertragen 
werden kann. 

Im nachsten Schritt sendet nun der Teilnehmer B eine zufallige Bttfolge 
25 e = (ei.,,....et.k) e {0.1} 

an den Teilnehmer A bzw. an die Chipkarte. 

Nach Empfang der zufalligen Bitfolge e sendet die Chipkarte eine von den Bits der zufalllgen Bitfolge e 
abhangige Linearkombination der bei ihr gespeicherten geheimen Schlussel Sj, addiert dazu die aktuelle 
Zufallszahl r und sendet den so gebiideten Zahlenwert y 

30 

k t 

y: = r + Sj e^^j 2^'^ (mod p-1) 

j=l i=l 

35 

an den Teilnehmer B. 

Der Teilnehnner 8 pruft nun Qach, ob der an ihn gesendete y-Wert auch die richtige Antwort auf die 
gestellte Frage ist, welche namlich der Teilnehmer A durch Senden der Zuf alls bitfolge e gestellt hat. Bel 
dieser Prufung berechnet der Teilnehmer B den rechten Teii der folgenden Gleichung 



45 



- 9y 




i-l 



(mod p) 



und stellt anhand eines Vergleichs fest. ob der errechnete Zahlenwert x mit dem bereits vorher vom 
Teilnehmer A erhaltenen x-Wert ubereinstimmt. Dieser beim Teilnehmer B durchzufuhrende Rechenprozefl 

5^ ist zwar relativ aufwendig. aber wegen der im terminal in aller Regel ausreichend vorhandenen Rechnerlei- 
stung in relativ kurzer Zeit durchfiihrbar. Damit ist die Identifikationspriifung abgeschlossen. so da/3, sofern 
beim Teilnehmer' B eine Ubereinstimmung der beiden x-Werte festgestellt worden ist seitens des Teilneh- 
mers A weitere MaBnahmen eingeleitet werden konnen. 

Die beschriebene identifikation des Teilnehmers A kann durch Einbeziehen einer Nachricht m zu einer 

55 elektronisch erzeugten Unterschrift des Teilnehmers A unter die Nachricht m erweitert werden. Diese 
elektronische Unterschrift gestattet es. dem Teilnehmer B die Identitat von A gegenuber einem Dritten. z.B. 
einem Richter nachzuweisen. Sie gestattet daruber hinaus den Nachweis. dai3 der Teilnehmer A zweifelsfrei 
die Nachricht m unterschrieben hat Um unter Benutzung der beim Teilnehmer A. d.h. in der Chipkarte 
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gespeicherten geheimen Schlussel Sj eine Nachricht m zu unterzeichnen, srnd folgende Schritte auszufuh- 
ren (siehe FIG 2): 

1. Der Teiinehmer A wahit wieder eine Zufallszahl r und berechnet daraus. wie bereits im Zusam- 
menhang mit der Identifikationsprufung beschrieben, einen x-Wert gemafl der Beziehung 

5 x: = 2' (mod p) 

Auch hier besteht selbstverstandlich die Moglichkeit. auf den gespeicherten Vorrat zuruckzugreifen und die 
Zufallszahlen r und den zugehorigen x-Wert unmittelbar abzurufen. 

2. Der Teiinehmer A bildet nun einen Hashwert e aus der Nachricht m und dem ermittelten bzw. aus 
dem Vorrat entnommenen x-Wert gema/3 der Beziehung 

to e: = h{x.m) e{0;i}'*» 

Oabei ist h eine offentlich bekannte Hashfunktion nnit Werten in {0,l}''^ 

3. Schliefllich berechnet der Teiinehmer A aus den Komponenten: Geheimer Schlussel Sj, Zufallsbit- 
folge bzw. Hashwert e und der Zufallszahl r einen y-Wert gema/5 der Beziehung 



75 



20 



45 



SO 



= r 



J=l i=l 



Das Zahlenpaar x, y ergibt sodann die sogenannte elektronische Unterschrift zur Nachricht m. Die 
beiden Sicherheitszahlen k und t llegen vorzugsweise im Bereich zwischen 1 und 20. Sie ergeben ein 
Sicherheitsniveau das heii3t wenigstens 2''* Multiplikationen (modulo p) sind zur Falschung der 
Unterschrift bzw. der Identitat notwendig. Beispielsweise ergibt k = 4 und t = 18 ein fur Unterschriften 

25 hinreichendes Sicherheitsniveau 2'^ 

Ausgehend von dieser durch die Zahlen x und y gebildeten Unterschrift, wobei beide Zahlen minde- 
stens 512 Bit lang sind, ergeben sich verschiedene Moglichkeiten der Unterschriftenverkurzung. Eine der 
- Moglichkeiten sieht vor. die Zahl x durch den Hashwert e = h(x.m) zu ersetzen, der nur 72 Bit lang ist. Die 
Unterschrift besteht dann nur noch aus y und e (siehe FIG 4). Ein nachster Schritt besteht darin, die Zahlen 

30 y, r, Sj nicht mehr in der Groj3e des Moduls p zu nehmen, sondern fur y, r, Sj nur noch kleine Zahlen zu 
verwenden, die aber mindestens 140 Bit tang sind. Eine besonders einfache Moglichkeit kurze Unterschrif- 
ten zu erzielen, besteht darin, dad man den Primzahl-Modulus p so wahIt, da/5 eine zweite Primzahl q den 
Wert (p-1) teilt, wobel q = 140 Bit lang ist. Man ersetzt dann die Basis 2 durch eine Zahl a, so dafl 
a*^ = 1 (mod p). a 1 (mod p) 

35 ist. Daraus folgt, da/3 aile diskreten Logarithmen modulo q berechnet werden konnen, d.h. man berechnet 
Logarithmen zu der gewahlten Zahl a, wobei dann alle Logarithmen im Bereich von I bis q llegen. Dies hat 
den Vorteil, da/3 sich fur den y-Wert der Unterschrift eine Zahl ergibt. die kieiner als q ist, Ausgehend von 
einer Zufallszahl r 
r e{1.....q-1}. 

40 dem daraus errechneten 
X : = a' (mod p) 
sowie der zufalligen Bitfolge 
e : = h(x,m) g{0,1}'** 
und der daraus errechneten Zahl y 



k 



j=i i=i 



ergibt sich fur die nun aus den Zahlen y und e gebildete Unterschrift mit y = 140 Bits und e = 72 Bits 
insgesamt eine Lange von 212 Bits. Eine derart verkiirzte Unterschrift hat das Sicherheitsniveau 2^^ h. 
etwa 2'2 Multiplikationen modulo' p sind erforderllch. um eine Unterschrift zu falschen. 

Zur Verifikation einer aus den Zahlen x, y bestehenden Unterschrift sind beim Teiinehmer B, d.h. im 
Terminal folgende Schritte vorgesehen. Zunachst wird, wie FIG 3 zeigt, 
e : = h(x.m) e{0,1}*** 

berechnet und dann der Gleichheitstest durchgefuhrt, derart, 6aB der gema/3 der Beziehung 
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10 



15 




= 2^/1 V. =^ (mod p) 



errechnete x -Wert mit dem x-Wert der Unterschrift verglichen wird. 

Bet verkurzten Unterschriften. bei denen x durch e ersetzt wird. erfolgt die Verifikation gema/3 FIG 5 in 
der Weise, dafl man zunachst 

7 = 2^ / ( V . ^ 'J" (mod p) 

j = l 



berechnet und dann pruft. ob die Zahl JTden richtigen e-Wert liefert. Letzteres erfolgt dadurch. dad man 

pruft. ob der Hash-Wert h( T^nx) mit dem Wert e ubereinstimmt. 

Sowoh! beim Identifikations- als auch beim Unterschriftenprotokoll sind in der Chipkarte nur relativ 
20 geringe Rechenleistungen zu erbringen. Bei der Bereclinung der Zahl y sind zwar die gehelmen Schlussel 

Sj noch mit reiativ kleinen Zahlen zu multiplizieren, diese Multiplikation kann aber in einfache Additionen und 

Verschiebevorgange, sogenannte Shirts, aufgelost werden, wobei das Produkt aus Sj und nur urn i-1 

Positionen nach links geshiftet werden mui3, Zu diesem Zwischenergebnis ist schlie/3Iich noch die Zufalls- 

zahl r durch Addition anzufugen. 
25 Die Berechnung der Zahl 

x: = 2^ (mod p) 

ist zwar auch aufwendig. kann aber durch den bereits erwahnten Vorprozess vom Zeitaufwand her praktisch 
vernachlassigt werden. wenn fur einige Zufallszahlen entsprechende x-Werte vorausberechnet und mehrere 
Paare, bestehend aus r- und x-Werten. als Vorrat abgespeichert werden. 

^0 um zu verhindern. da/5 bei einer begrenzten Anzahl von Paaren in regelmaBigen Abstanden Immer 
wieder die gleichen Zahlenpaare verwendet werden. findet eine Erneuerung insofern statt. als jedes Paar 
nach der Benutzung anschlie/Jend mit anderen. gegebenenfalls alien Paaren des Vorrats kombiniert wird 
und zwar wieder auf zufallige Weise. Dies hat zur Folge. da/3 der Vorrat nach und nach immer wieder 
erneuert und verandert wird- _ 

35 Als Beispiel fur einen derartigen Erneuerungsprozefi sei angenommen. daB ein Vorrat von k Zahlenpaa- 
ren (fj, Xj) fCir i = 1. .... k"vorliegt, Um das Paar (r . x ) zu erneuern. wahit man zum Beispiel zufallige 

Indizes a(1) a{ T- 1) e {1. .... k~} , sowie ein gerade erneuertes Paar (r^,. xJ und berechnet mit a( t ) = 

u das neue Paar {r^. x,,) nach der Vorschrift 
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i=l 



^neu . ^ ^alt ^ j ^ ^^^.^ (^^d p) 

i=l 



Fur das neue Paar (r^,. x^) gilt wieder die Beziehung x = 2"^ (mod p). Die neue Zahl r kann man mit t 
55 Additionen. die neue Zahl x^ mit FMultiplikationen berechnen, Eine andere Erneuerung des Paares (r^,, x^,) 
ist mdglich nach der Vorschrift 
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neu 



= r. 



alt 



i = l 



a(i) 



(mod p-1) 



neu 



= X 



alt 




i = l 



'a(i) 



(mod p) 



75 Die Berechnung des neuen Wertes r geht hier in rAdditionen und FShifts. Die neue Zahl x^, kann man 
mit 2 FMuItiplikationen berechnen. Hierzu fuhrt man beginnend mit z = 1 die Schritte 
z : - z Xa(j) (mod p), z : z^ (mod p), 
mit von fnach 1 absteigendem Index i durch. 

Den neuen Wert Xu erhalt man als Produkt des alten Wertes mit der zuletzt berechneten Zahl z, also nach 
20 der Vorschrift 



: = Xy-^^ z (mod p), 



Bei dieser Erneuerung hat die Wahl a( T) = n zur Folge, da/3 eine gerade erneuerte Zahl mit der 
hdchsten 2er-Potenz multipliziert wird. Dies fuhrt zu einer besonders effektiven Erneuerung des Vorrats. 

Selbstverstandlich kann man diese Erneuerungsprozesse fur das Paar {t;,, Xy) kombinieren und 
variieren. Es kommt nur darauf an, daj3 die Erneuerung moglichst schnell geht und aus den geieisteten 
Unterschriften nicht nachvollziehbar 1st. Man benutzt also zweckmaflig einejcleine Zahl t ; die Erneuerung 
bleibt unausforschbar, wenn der Vorrat an Zahlenpaaren - also die Zahl k - hinreichend gro/5 ist. Es ist 
vorteilhaft, die Schlusselpaare Sj, Vj bei der Erneuerung mit zu benutzen; man kann zum Beispiel fur ein 
Paar (ra(i). Xao)) ein Schlusselpaar (S|, Vj) wahlen. Bei r= 6 und k"= 10 braucht die Erneuerung eines 
Schlusselpaares nur 6 bzw. 12 Muitiplikationen, die mehr oder weniger nebenbei durchgefiihrt werden 
kdnnen. z.B. dann, wenn im Terminal andere Rechenoperationen auszufuhren sind. 

Die vielfaltigen Moglichkeiten. die Zahlenpaare (r^,, X;,) zu erneuern, kdnnen in jeder Chipkarte anders 

genutzt werden. Zum Beispiel konnen die Indlzes a(l) a( f"- 1) und die Kombinationen der 

Schlusselpaare des Vorrats in jeder Chipkarte anders gebiidet werden. Auf diese Weise wird ein Ausfor- 
schen des Erneuerungsprozesses praktisch unmdgiich. 

Im Falle der verkurzten Unterschrift mussen die Zufallszahlen n klein sein, damit auch der y-Teil der 
Unterschrift klein bleibt. Dies erreicht man einfach dadurch. dafl man fur die diskreten Logarithmen eine 
Basis a wahit, fur die es eine 140 Bit lange Primzahl q gibt, so da/3 = 1 mod p. Bei der Erneuerung der 
Zufallszahlen n wird dann naturlich modulo q gerechnet, d.h. es wird der Modul p-1 durch den Modul q 
ersetzt. 



Anspruche 

1. Verfahren zur gegensettigen Identifikation von Teilnehmern in einem mit Prozessor-Chipkarten 
arbeitenden Datenaustauschsystem. unter Verwendung von in einem Zentrum jeweils mit teilnehmerbezoge- 
nen offentlichen Schlussein verschlCisselten und in der jeweiligen Chipkarte gespeicherten Identifikationsda- 
ten und mit diesen offentlichen Schlussein in logischem Zusammenhang stehenden Geheimschiussein. bei 
dem wechselseitig zwischen den Teilnehmern zufallszahlenabhangige Prufdaten ausgetauscht werden, 
gekennzeichnet durch folgende Schritte: 

a) Die Chipkarte sendet die verschlCisselten Identifikationsdaten (U v). gegebenenfalls zusammen mit 
einer Unterschrift des Zentrums an den mit der Chipkarte in einen Informationsaustausch eintretenden 
Teilnehmern. der die Korrektheit der verschlusselten Identifikationsdaten (I, v) anhand einer offentlichen 
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Liste Oder der Unterschrift des Zentrums pruft, 

b) die Chipkarte bildet. ausgehend von einem zufalligen diskreten Logarithmus r (1 p-1), wobei p 

ein vereinbarter Primzahl-Modulus ist, einen x-Wert gema/] der Vorschrift 

x: = 2' (mod p) 
5 und sendet diesen x-Wert an den Teilnehmer 

c) der Teilnehmer sendet eine zufallige Bitfolge 
e = (Sm e,.k)e{0,1>'*' 

an die Chipkarte 

d) die Chipkarte berechnet dutch Muitiplikation der gespeicherten, ebenfalls einen diskreten Logarith- 
w mus darstellenden geheimen Schlussel s^ mit einer aus den Bits der vom Teilnehmer zvr Chipkarte 

ubertragenen zufalligen Bitfolge e gebildeten Dualzahl und durch Addition der dem vorher ubertragenen x- 
Wert zugeordneten Zufallszahl r eine Zahl y gemai3 der Vorschrift 

k t 

y: = r + ^ Sj j 2^"^ (mod p-1) 

j=l i=l 



2Q und ubertragt diese Zahl y zum Teilnehmer 

e) der Teilnehmer berechnet anhand der ihm ubertragenen Zahl y eine Zahl x nach der Vorschrift 



25 



(mod p) 

J 

j=i 



und pruft die Identitat des Chipkarten-Benutzers anhand eines Vergleichs zwischen der errechneten Zahl x 
und dem ihm vorher ubermittelten x-Wert. 

2. Verfahren zur Erzeugung von Unterschriften fur eine zu ubertragende Nachricht in einem mit 
Prozessor-Chipkarten arbeitenden Datenaustauschsystem nach Anspruch 1 . 
gekennzeichnet durch folgende Schritte: 

a) Die Chipkarte berechnet aus einer in der Chipkarte erzeugten. im Bereich zwischen 1 und dem 
Primzahf-Modulus (p-1) liegenden Zufallszahl r einen x-Wert gemaj3 der Vorschrift 

x: = 2' (mod p) 

b) die Chipkarte berechnet als Funktion des x-Wertes. der Nachricht m und einer vereinbarten 
Hashfunktion h eine zufaliige Bitfolge gemafl der Vorschrift e: = h (x,m) e{0,1}'^* 

c) die Chipkarte berechnet aus der Zufallszahl r, den in der Chipkarte gespeicherten Geheimschlus- 
seln Sj und der zufalligen Bitfolge e einen y-Wert gemafl der Vorschrift 



45 



y : = r 



c 

j=i 



t 

i=l 



i-1 



(mod p-1) 



d) die Chipkarte sendet die Nachricht m und die aus den Werten x und y gebiidete Unterschrift an 
den mit ihr im Nachrichtenaustausch stehenden Teilnehmer. 

3. Verfahren zur Erzeugung einer verkurzten Unterschrift fur eine zu ubertragende Nachricht in einem 
mit Prozessor-Chipkarten arbeitenden Datenaustauschsystem. nach Anspruch 1, 
gekennzeichnet durch folgende Schritte: 

a) Die Chipkarte berechnet aus einer in der Chipkarte erzeugten, im Bereich zwischen 1 und dem 
Primzahl-Modulus (p-1) liegenden Zufallszahl r einen x-Wert nach der Vorschrift 

55 x: = 2' (mod p) 

b) die Chipkarte berechnet als Funktion vom x-Wert und der Nachricht m eine zufallige Bitfolge e 
gema/J der Vorschrift 

e: = h(x.m) e{0,l}'** 

8 
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c) die Chipkarte berechnet aus der Zufa(ls2ahl r, aus den geheimen Schlussein Sj und aus der 
Zufallsbttfolge e einen y-Wert gema/3 der Vorschrift 




(mod p-1) 



d) die Chipkarte sendet die Nachricht m und die aus den Werten e und y gebildete Unterschrift an 
den mit ihr im Nachrichtenaustausch stehenden Teilnehmer. 

4. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, da/5 in der Chipkarte mehrere Zufallszahlen r und jeweils zugehdrige in einem 
Vorprozefl berechnete x-Werte paarweise abgespeichert werden. dafl das bei einer Identifikations- und/oder 
Unterschrirten-Prozedur verwendete Paar (r. x) in der Weise verandert wird. dafl eine Zufallszahl r nach 
Benutzung mit einer zufalligen Auswah! der ubrigen gespeicherten Zufallszahlen kombiniert wird und da/3 
zur erneuerten Zufallszahl der zugehorige x-Wert berechnet und zusammen mit der erneuerten Zufallszahl r 
als erneuertes Paar abgespeichert und/oder benutzt wird. 

5- Verfahren nach Anspruch 4, 

dadurch gekennzeichnet, da/3 in der Chipkarte mehrere Zufallszahlen ^^ und ihre zugehdrigen x- 

Werte. x^ = 2'" (mod p) abgespeichert werden und da/J das bei einer Identifikations- und/oder 

Unterschriften-Prozedur verwendete Paar (r, x) durch eine zufallige Auswahl (rati), fur i = 1 Fder 

Paare wie foigt erneuert wird 



neu 



= r. 



alt 



L 

i = l 



^a(i) 



2^ (mod p-1) 



neu 



= X 



alt 




^a(i) 



2^ (mod p) 



6. Verfahren nach einem der vorhergehenden Anspruche, 

gekennzeichnet durch eine derartige Wahl des Primzahl-Modulus p. da/J (p-1) durch eine Primzahl q 
teilbar ist und durch eine derartige Wahl der Basis a des diskreten Logarithmus, da/3 
a'' = 1 (mod p),a=^ 1 (mod p) 

ist, da/J die diskreten Logarithmen y, r, Sj modulo q berechnet werden und dafl die Schlusselkomponenten Sj 
und Vj in der Beziehung v,- = a"^j (mod p) stehen. 

7. Verfahren nach einem der vorhergehenden Anspruche, 

gekennzeichnet durch eine derartige Wahl der geheimen Schlussel (Sj) und der Zufallszahlen (r), da/3 die 
Bitlangen der Zahlen Sj. r und y kurzer als die voile Lange des Primzahl-Modulus p sind. 

8. Verfahren nach einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, da/3 anstelle der endlichen Gruppen, die durch Restklassenbildung modulo p 
entstehen, andere endliche Gruppen zur Bildung des diskreten Logarithmus verwendet werden. 

9. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, da/3 als endliche Gruppe eine Einheitengruppe ZZ*n der zur Zahl n primen 
Restklassen. eine Einheitengruppe eines endlichen Korpers, eine elliptische Kurve uber einem endlichen 
Korper oder dergieichen vorgesehen sind. 

10. Verfahren zur Verifikation einer nach dem Verfahren gema/3 Anspruch 2 erzeugten Unterschrift (x. y) 
beim die unterschriebene Nachricht m empfangenen Teilnehmer, 

gekennzeichnet durch folgende Schritte: 

a) Aus der Nachricht m und dem x-Wert der Unterschrift wird eine zufallige BItfolge e gema/3 der 
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Vorschrift berechnet 
e: = h{x.m)e{0,1}*^* 

b) aus der zufalligen Bitfolge e. dem offentlichen Schlussel v und dem y-Wert der Unterschrift wird 
ein x-Wert gema/3 der Vorschrift 



w 




,1-1 

Vj (mod p) 



berechnet und gepruft. ob der berechnete x wert mit dem x-Wert der Unterschrift ubereinstimmt. 

11. Verfahren zur Verifikation einer nach denn Verfahren gemai3 Anspruch 3 erzeugten. verkurzten 
Unterschrift beinn die unterschriebene Nachricht m empfangenen Teilnehmer. 
gekennzeichnet durch folgende Schritte: 

a) Aus der ubertragenen Nachricht nn und der Unterschrift (e.y) wird eine Zahl x"gema/3 der Vorschrift 
berechnet 



7 = 2^ j i v.^^ = i (mod p) 

j = l 



b) Es wird gepruft, ob der e-Wert der Unterschrift ubereinsti'mmend mit h( jT.m), 
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